>>> Stephane Martin a écrit : >>> un parefeu ça aide, en particulier contre les invités qui ramènent leur >>> portable win >>> xp vérolé. se protéger contre l'externe, ça va, contre l'interne c'est plus >>> compliqué.
>> Christophe Baegert a écrit : >> il faut un réseau wifi séparé pour les invités tout simplement... > David Ponzone a écrit : > Et sur lequel tu actives l'isolation L2. Ou carrément un subnet séparé, aucun problème j'ai une FE de rab' sur mon Cisco. Malheureusement, çà ne sert pas à grand-chose. Les trucs les plus ennuyeux qu'un portable vérolé ramène ces jours-ci sont : (note : liste non exhaustive, merci de compléter) 1. Les merdiciels ransomware comme cryptowall ou cryptolocker. Si c'est moi qui le prend sur mon portable, danger car je vais être sur le réseau interne et le parefeu ne peut rien faire. Mais si c'est un invité, çà ne me dérange pas vraiment : il ne fait pas partie de mon domaine, donc n'a pas accès à mes drives réseau qui contiennent les documents Excel, Word et .pdf à encrypter. C'est pour cette raison qu'un NAS dans la machinbox est sympa: si gros fichier à échanger, les mettre sur le NAS auquel tu peux donner accès aux invités. 2. Les spambots. C'est ennuyeux car ils vont mettre mon IP dans Spamhaus et auxtres, mais çà me dérange pas non plus, je bloque le port 25. 3. Les merdiciels qui ouvrent uPNP. M'en fous, j'ai pas uPNP. 4. Les merdiciels qui font des attaques force brute / de dictionnaires. - S'ils attaquent l'intérieur : c'est pour çà qu'on met des mots de passe longs. Ils vont pas rester sur mon réseau assez longtemps pour trouver. - S'ils attaquent l'extérieur : un subnet / VLAN etc séparé pour les invités ne va rien y changer. Danger car ils peuvent aussi mettre mon IP dans une blacklist. C'est là ou le parefeu comme dans le schéma que j'ai mis dans le fil "le réseau du geek barbu" peut servir, en détectant ce genre de chose. Le WiFi séparé pour les invités c'est utile si tu as une IP publique à lui allouer, mais à la maison je n'ai qu'une seule IP et je suis radin j'ai pas envie de payer pour avoir un /29. Je dis pas que c'est complètement inutile, mais voir l'analyse de risque ci-dessus. Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
